《中华人民共和国数据安全法》的颁布实施为我国数据安全建设提供了顶层设计,其明确提出要实行数据分类分级制度,基于数据的全生命周期构建数据安全防护体系,最终根本目的是提升国家数据安全的保障能力和数字经济的治理能力。
数据作为工业互联网的“血液”,对工业企业数字化转型起着至关重要的作用,切实保障工业互联网数据安全,加强工业互联网数据安全防护建设迫在眉睫。针对工业互联网数据安全要求,国务院及工信部印发了《工业数据分类分级指南(试行)》、《工业互联网创新发展行动计划(2021-2023年)》以及《工业和信息化领域数据安全管理办法(试行)》等一系列法规政策,从行业角度对工业企业数据安全建设提出了进一步的要求。
此外,工业信息化产业联盟自2020年开始,相继发布了《2020工业互联网数据安全白皮书》、《2020工业互联网平台安全白皮书》、《2021工业互联网密码应用发展白皮书》以及《2021工业互联网白皮书》等各项有关工业互联网安全白皮书,为工业互联网安全建设的落实提供了指导。
从一系列的法律法规政策及指导文件不难看出,国家为工业数据分类分级、 管理能力评估、有序共享、治理与防护等提供了政策指导。从通用防护、分类防护、分级防护三个维度提出工业互联网数据安全防护框架。
工业互联网数据安全风险与现状
伴随着世界多极化、经济全球化、社会信息化的大潮,数据及其流动成为第四次工业革命的关键支撑,智慧工厂作为一个衍生自工业互联网的智能生产模式,其生产技术核心便是数据信息驱动下的智能生产,而该项核心技术的基础便是全面的数据信息互联。明朝万达认为,基于当前环境,工业互联网数据数据安全风险主要体现在以下几个方面:
01
工业互联网的数据价值高,日益成为黑客的重点攻击对象
工业互联网中产生的数据,贯穿于工业的设计、工艺、生产、管理、服务等各个环节,分为现场设备数据、应用系统数据、知识库数据、用户个人数据、企业数据等。在工业互联网中进行双向交互的大量信息,具有数据量大、信息种类丰富、数据结构复杂、数据间关联性强、数据开放程度高、安全需求高等特点,同时一部分数据信息会在工厂内外、 IT层和OT层进行双向交互与共享。因此,工业互联网数据价值越来越凸显。2018年,大众、福特、丰田等100多家汽车产业链上下游公司4.7万余份含有工厂图表、制造细节等大量敏感数据文件泄露;2020年4月,Rigug数据库暴露数万份能源行业文件,该数据库中还包含与业务操作、项目以及与很多能源企业合作关系相关的内部记录,包括项目提案和应用、项目概述、演习设备技术图纸以及企业保险文档。这些安全事件无一不体现了工业互联网数据的价值,也正是因为数据价值高,让工业互联网数据成为黑客及“有心人”觊觎的目标。
02
工业互联网数据全生命周期各环节安全风险无处不在
◆采集阶段识别解析难,采集工作量大且伴有泄露风险
工业互联网数据分布在海量设备、系统之中。不仅数据孤岛现象严重,各厂家数据接口规范不统一,而且各厂商多采用自家的私有协议,工业协议多样且大多封闭,导致数据难识别、难解析,进而导致采集工作量大,且有泄露数据风险。
◆传输阶段监测溯源难,难以有效捕捉追溯敏感数据和安全威胁
工业互联网场景涉及云计算、大数据、人工智能等多种技术的应用,且工业互联网数据在工厂外流动更加复杂多元。导致在大流量、虚拟化等环境下难以有效捕捉追溯敏感数据和安全威胁。
◆存储阶段分类分级难,数据分类分级管理与防护难度加大
存储阶段极易形成数据的汇聚,需要根据数据的类别和等级采用划分区域、设置访问权限、加密存储等多种手段。然而工业互联网数据形态多样、格式复杂,导致数据分类分级管理与防护难度大。
◆使用阶段可信共享难,权责难定、安全可信赋能难
?对工业互联网数据进行分析利用是发展工业互联网数据作为生产要素的重要途径,同时,传统工业互联网平台大部分是单向汇聚的中心化模式,难以适应工业互联网扁平化的数据安全交换共享需求,而专门面向工业互联网数据提供安全可信交换共享服务的公共服务平台尚属空白。数据权责难定、安全可信赋能难等阻碍数据有序安全共享。
◆销毁阶段无监督不彻底,容易引起二次泄露
对工业互联网数据进行数据删除及销毁是维护工业互联网数据的管控手段,然而数据销毁及介质销毁不彻底的情况容易引起二次泄露,过程控制难等阻碍数据销毁及审计。
03
工业互联网数据安全管控手段缺失
数据安全意识薄弱
针对工业互联网数据安全的管理体系还未健全,主管部门、工业企业、工业互联网基础设施运营单位、工业互联网平台企业等多方主体在保护工业互联网数据安全方面的权责义务还不够清晰,难以有效落实工业互联网数据安全保护要求。
数据安全管控能力不足
工业互联网数据安全治理需求不明晰、工业互联网数据安全治理主流技术手段不够成熟、数据资产分类分级安全管理和隐患排查不到位、缺乏对数据安全治理的有效跟踪和审计等问题普遍存在。
工业互联网数据安全建设方案
作为中国新一代信息安全技术企业的代表厂商,明朝万达基于对数据安全领域的深入研究,结合工业企业内部业务及数据特征,通过技管结合,以数据为核心,数据安全治理为切入,采用数据安全能力成熟度模型方法搭建工业企业数据安全统一管控平台。围绕工业互联网数据全生命周期,从数据采集、传输、存储、处理、交换、删除、销毁等阶段构筑数据安全体系,从而形成以数据为核心的安全防护体系。
技术层面
数据安全治理与分级防护,解决数据治理难题
依据工业数据分类分级指南,对企业内部不断产生的研发、业务、生产数据实施分类分级,制定安全防护策略,解决数据治理难题。
数据安全管控,做到事前控制、事中监控、事后审计
从数据的采集、访问、传输、存储、使用、处理生命周期出发,对网络、系统、终端等实施全方位的安全管控,做到事前控制、事中监控、事后审计。
数据安全可信交换,提升网络边界的安全保护能力和用户的管理能力
在内外网之间、不同网络平台之间提供数据的安全交换、安全共享、安全下载、安全赋能等能力,提升网络边界的安全保护能力和用户的管理能力。
数据安全监控与审计,提高数据安全管理效率、防范数据泄漏风险
通过多设备、多环节、多角度的关联分析手段,为用户异常行为安全分析提供支撑,帮助工业企业提高数据安全管理效率、防范数据泄漏风险。
安全接入,解决数据被篡改、非法访问的风险
结合工业企业软件需要接入平台的场景,从用户身份认证、访问控制等方面入手解决数据被篡改、非法访问的风险。
管理层面
完善相关数据安全管理制度
根据数据的拥有者、管理者、使用者三个角色,明确各角色对于数据的安全责任和操作权限。各级别数据的防护措施等方面的内容。对于不同级别的数据,还要明确其在数据访问控制、存储、传输、备份、审计等方面的要求。除了应当设置专门安全管理机构之外,还应当对负责人和关键岗位人员进行安全背景审查。从数据保密义务和数据安全管理等层面进行操作规范约束。明确相关人员的责任和义务,防止数据泄露。
加强宣传教育,培养数据安全思维
对各单位的数据管理员进行数据安全宣传和培训,宣传国家数据安全政策,加强数据管理员数据安全意识,提高数据使用方的数据安全技术。同时可通过各工业体制内开展“网络安全日”和“数据安全宣传周”等宣传活动,普及《数据安全法》及相关知识,提高工业互联网数据安全保护意识和水平,形成工业互联网共同维护数据安全和促进发展的良好环境。
工业互联网数据安全建设意义
满足合规要求,快速通过评测
可实现独立的审计和访问控制,直接输出合规的报表,满足政府机构多个法规和标准的要求,快速通过各种安全保密检查和评测,比如等保评测。
减少核心数据资产被侵犯,保障业务连续性
紧密贴合数据,提供数据发现、风险评估、审计、防火墙、加密等手段,实现数据安全的可视性和可控性,并最终减少核心数据资产被侵犯的可能性,保障正常的业务。
信息可信
通过基于数据全生命周期的管控建立对业务数据信息的有效保障,实现数据的安全使用和传递交互,避免数据在流转中的各类风险。
完善纵深防御体系,提升整体安全防护能力
紧贴组织和企业核心数据资产,在数据以及业务层提供丰富的防护手段,有利于完善纵深防御体系,提升整体安全防护能力。
作为国内数据安全市场的倡导者,明朝万达专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,历经十余年的积累与沉淀,客户覆盖金融、政府、公安、制造业、电信运营商等诸多领域。公司在推动技术创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。